Ситуация такая:
Мне нужен конкретный контейнер в моей среде AD, который блокирует политику истечения срока действия пароля, но принимает все другие политики. Будет ли это работать, просто добавив GPO на уровне sub-ou (рассматриваемый ou является дочерним элементом ou, в котором установлены GPO, включая пароли).
Эти учетные записи (и эта учетная запись) уже существуют и будут иметь политику домена по умолчанию, а также другие политики, и они должны продолжать получать параметры политики в соответствии с этими объектами групповой политики, за исключением срока действия пароля.
Мы пробовали установить флажок «Не истекать срок действия пароля», но, похоже, это не сработало.
Заранее спасибо.
Кип
Вы не упоминаете, работаете ли вы с Windows 2003 Active Directory или Windows 2008 Active Directory.
В Windows 2003 Active Directory все учетные записи пользователей домена подчиняются политике учетной записи, полученной из объектов групповой политики, применяемой в корне домена. У вас не может быть учетных записей с разными политиками паролей (срок действия, длина, настройки блокировки и т. Д.). (Учетные записи локальных пользователей на компьютерах, не являющихся контроллерами домена, могут иметь разные политики паролей, но все пользователи домена подпадают под одну и ту же политику паролей домена).
В Windows 2008 Active Directory, когда установлен функциональный уровень Windows 2008, вы можете иметь «детализированные» политики паролей. Однако Microsoft не реализовала это с помощью групповой политики. Вместо этого используется новый тип объекта Active Directory. Вот статья о детальной политике паролей, которая поможет вам начать, если вы можете их использовать: http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
Если вы застряли в Windows 2003 Active Directory, единственный способ иметь разные политики паролей для подмножества пользователей - это создать другой домен и поместить учетные записи в этот домен.
Какая версия сервера Windows у вас установлена? Если у вас нет 2008 года или ваш домен не находится на функциональном уровне 2008 года, это просто невозможно.
Вот статья о Детализированные политики паролей.